隨著資訊化與數位化日漸普及,資訊安全成為企業必須面對的課題,尤其法務部已於10月底正式於官方網站公布個人資料保護法施行細則草案,正式施行的日期也愈來愈近,對於企業來說,保護資料已經勢在必行。
資料外洩事件時有所聞,企業也重視防護邊界的建立,利用防火牆、IDS/IPS入侵偵測防禦系統以及UTM等設備來加強阻絕駭客可能由外對內的攻擊或入侵已經是常見的作為,但是在個資法的要求下,由內對外的防護也相形重要。
 |
| ▲優碩資訊科技行銷業務部產品經理陳品翰指出,導入DRM解決方案時應採用循序漸進方法,才能降低衝擊。 |
在個資法第27條中明文規定,非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。亦即任何可能造成個資外洩的管道,企業都必須採取個資安全措施,即使是檔案文件也是如此,優碩資訊科技行銷業務部產品經理陳品翰指出,限定使用者閱覽檔案權限並不足以全面防範資料外洩,有心人士還是可能帶走明碼資料,因此可採用以加密控管機密文件的DRM(Digital Rights Management)解決方案來進一步達到防範的目的。
然而,他也指出,DRM雖然能夠保護重要資料,卻也可能帶來不便,對於使用者來說,改變使用習慣,限制其傳送分享權限,很可能造成極大的反彈,而且萬一企業政策不能統一,隨時都必須為某個部門特別開放使用權限,也很容易導致安全漏洞的產生。「更重要的一點是,目前DRM解決方案必須在Client端安裝代理小程式,在企業內部沒問題,但如果對象是上下游業者或外部合作伙伴,複雜度將會提高。」
因此,陳品翰建議,導入DRM解決方案時應採用循序漸進的方法,首先IT人員應該先行實地測試,除了解決方案的效能表現、會不會當機以及功能面測試之外,更應該尋求真正使用者的回饋,亦即最好在各部門安排幾位使用者進行實際的使用與操作,以確認這個解決方案是不是符合企業需求。
其次,加強使用者以及主管的資訊安全教育訓練以降低日後可能造成的反彈,而且儘可能從影響度最低的層次開始做起,先從不影響使用者作法流程的加密機制開始導入,而後再慢慢提升安全管控。
最後為了避免一次性全面導入的重大反彈,依需求分部門導入也是重要的策略,陳品翰提到,為了能夠跟著企業一同成長,DRM解決方案也應該選擇有擴充性的產品,例如先期可能只有針對office檔案加密,而後再加入CAD、文管系統等模組來強化。